Seguridad de un sistema

[cjmatador]

bueno saben tengo otro pequeño inconveniente,
toda la base de datos que genera el cliente en el uso rutinario del sistema, para cearle un backup, simplemente copio la base de datos donde me indique el usuario, en que forma podria llevar dicha base primero a comprimirla en winrar y ponerle una clave.

[[Delphius]]

Cita:

Empezado por cjmatador

bueno saben tengo otro pequeño inconveniente,
toda la base de datos que genera el cliente en el uso rutinario del sistema, para cearle un backup, simplemente copio la base de datos donde me indique el usuario, en que forma podria llevar dicha base primero a comprimirla en winrar y ponerle una clave.

Hola cjmatador,
sugiero que realices una búsqueda en los foros. Creería que ya alguien comentó algo parecido. Por lo menos se que existen componentes que comprimen archivos, tanto en zip como en rar. No se si serán de pago... lo puedes localizar aquì.

Saludos,

[cjmatador]

delphius amigo
una consulta sabes algo de como acceder al registro de windows para guardau una fecha digamos la de instalacion de mi programa, pero quisiera hacerlo desde el sistema que hice, ya validare que solo en la primera vez que se entra registre dicha fecha y si existe ese dato no lo actualice comprendes te agradecere muchisimo
un abrazo

[[Chris]]

Hola cjmatador. Prueba un código similar a este:

Código Delphi [-]
Procedure RevisarFechaInstalacion:TDateTime;
var
Reg : TRegistry  ;
Begin
Try
  Reg:=TRegIniFile.Create;
  Reg.RootKey := HKEY_CLASSES_ROOT;
  Reg.OpenKey('{AA95A820-4458-410F-BD97-2EC6142542B5}',TRUE);
  If Reg.ValueExists('fecha_instalacion') Then
  Result := reg.ReadDateTime('fecha_instalacion')
  Else
  Begin
  WriteDateTime('fecha_instalacion',now);
  Result := now;
  end
Finally
Reg.Free;
End;

end;

EDITADO: En este caso la fecha se guarda directamente sin condificar. Oviamente, tu tendrás que implementar los métodos para mejorar la seguridad de esta pequeña función.

saludos.

[[fer21unmsm]]

Muy interesante, las soluciones brindadas por los compañeros, en cuanto al registro, es uno de los más comunes, aunque tienes que poner un clave que no este relacionada al programa es decir que los puedas despistar, ya que hay personas que se meten al regedit, y buscan palabras semejantes al programa y pues terminan encontrando el numero de serie.

Mediante la generacion de un archivo también es interesante, aunque si me voy por los extremos con un programa que rastree las funciones apis de apertura, lectura y cierre de ficheros, pueden sacar el archivo donde se encuentra el serial, solo es para tener en cuenta.

Puede ser en linea (on-line), en internet, también es otra forma, generas un archivo para el usuario que contenga una llave publica, y del lado de tu server un privada similar al mecanismo de correo, esto me parece seria bastante seguro

saludos

[[Delphius]]

Hola, el asunto sobre la seguridad de las aplicaciones no debe ser tomado a la ligera, sobre todo si se tratan de sistemas críticos y/o que se sabe (o se tiene una noción) de que puede ser usado en una amplia parte del mercado.

En fin, dependerá de muchas cosas el nivel de la protección:
1. El tipo de sistema.
2. El esfuerzo, tiempo, dinero, etc que estamos dispuestos a invertir en ello.
3. La restricciones operativas y/o legales que afectan no sólo al sistema sino al negocio.
4. El nivel de conocimiento sobre el area de seguridad que tengamos.
5. Los posibles requisitos/necesidades del cliente.
6. Pedazo de la torta del mercado que podemos comer o acaparar.
7. Relacionado con el anterior: como trabaja la competencia.
8. Las ganas de quitarle más o menos dinero al cliente. Que aunque no lo crean, en ocasiones uno debe ponerle cosas y cobrar en base a la cara del cliente.
9. Facilidad y frecuencia de uso del sistema.
10. La cultura infomática del cliente y/o usuario final. No siempre el usuario final es el cliente. Además si la persona no es demasiado entendida en las PCs el recibir ese cuadro de registro y/o pedido de clave puede confundirla.
11. Las disponibilidades técnicas del cliente. Supongamos que el cliente no posee acceso a internet y nuestro sistema necesita hacer la registración y/o validación a través de internet ¿Como le ofrecemos ayuda y asistencia?¿Cómo creeen que reaccionaría el usuario?
12. Nuestra forma de hacer negocio.
13. Etc...

En fin... podría seguir. Esto no es una decisión que tomar en 2 minutos.

Saludos,

[[AzidRain]]

A reserva de salir peleado con el querido Delphius me permito hacer algunas acotaciones toda vez que estos comentarios seguramente son vistos por muchos desarrolladores empresarios bisoños los cuales me parece pueden irse del "lado oscuro" de la fuerza si lo toman al pie de la letra.

Cita:

Empezado por Delphius

Hola, el asunto sobre la seguridad de las aplicaciones no debe ser tomado a la ligera, sobre todo si se tratan de sistemas críticos y/o que se sabe (o se tiene una noción) de que puede ser usado en una amplia parte del mercado.

Aunque hay una buena parte de aplicaciones consideradas como críticas per-se por la industria, en la realidad nos perdemos en el mar de la subjetividad, ya que lo que para un cliente es crítico para otros no lo es. No caigamos en el garlito de querer enseñar a nuestros clientes como deben manejar su negocio. Si el cliente dice que sus cuentas por cobrar son un área crítica, así hay que manejárselo.

Cita:

1. El tipo de sistema.

Seguimos con las ambigüedades, ¿Tipo de sistema? Será cliente-servidor, aplicación web, linux, windows, etc. Me parece que aquí sale sobrando el tipo famoso.

Cita:

2. El esfuerzo, tiempo, dinero, etc que estamos dispuestos a invertir en ello.

Me parece una apreciación arrogante, ya que al cliente le viene importando un comino si "estamos dispuestos" o no a "invertir" tiempo y demás en resoverle su problema. Si no se está "dispuesto" a invertir nada de esto pues entonces dedícarse a algo en donde no se necesite invertir nada (dudo que haya algo)

Cita:

3. La restricciones operativas y/o legales que afectan no sólo al sistema sino al negocio.

4. El nivel de conocimiento sobre el area de seguridad que tengamos.
5. Los posibles requisitos/necesidades del cliente.

Esto si está sensato

Cita:

6. Pedazo de la torta del mercado que podemos comer o acaparar.

Esto aplica si y solo si estamos desarrollando una aplicación comercial encaminada satisfacer a un mercado determinado, no aplica en desarrollo a medida.

Cita:

7. Relacionado con el anterior: como trabaja la competencia.

Más o menos cierto pero lo principal y hermoso del asunto es que si realmente te consideras bueno en lo que haces y tu trabajo es tu mejor recomendación, aquí la competencia te va a hacer lo que viento a Juárez. Posiblemente logre arrebatarte un proyecto pero si finalmente eras mejor ese cliente regresará contigo más convencido de tus capacidades y calidades.

Cita:

8. Las ganas de quitarle más o menos dinero al cliente. Que aunque no lo crean, en ocasiones uno debe ponerle cosas y cobrar en base a la cara del cliente.

Que afirmación tan desafortunada. Ante todo SIEMPRE hay que ser honesto con el cliente. No dudo que haya quien cobre según el sapo, pero a la larga todo cliente se da cuenta cuando lo has estafado y cuando no. A lo mejor si, lograste "quitarle" mucho dinero a un cliente pero cuando éste se de cuenta creemen que será mucho más lo que pierdas en crédito comercial. Este tipo de pensamientos son propios solo de sinvergüenzas e ignorantes con mucha labia y poca capacidad para desarrollar decentemente.
[/quote]

Cita:

9. Facilidad y frecuencia de uso del sistema.

No por ser un sistema sencillo de usar y además utilizado cada cinco minutos debe tener 20 mil candados y preguntas "está seguro de esto y lo otro" cada 10 segundo. O bien requerir registro digital para su uso.

Cita:

10. La cultura infomática del cliente y/o usuario final. No siempre el usuario final es el cliente. Además si la persona no es demasiado entendida en las PCs el recibir ese cuadro de registro y/o pedido de clave puede confundirla.

Buen punto, ¿Como ha de ser el registro de mi sistema para que cualquier promedio pueda hacerlo? No será mas fácil ver la forma de que el usuario-cliente "quiera" registrarlo.

Cita:

11. Las disponibilidades técnicas del cliente. Supongamos que el cliente no posee acceso a internet y nuestro sistema necesita hacer la registración y/o validación a través de internet ¿Como le ofrecemos ayuda y asistencia?¿Cómo creeen que reaccionaría el usuario?

Esto es muy claro y tiene que ver con la preventa: "ADVERTENCIA: PARA REGISTRAR ESTE SOFTWARE QUE ESTA A PUNTO DE ADQUIRIR SE REQUIERE CONEXION A INTERNET, de no contar con él puede usar nuestro call-center...bla bla..."(pero usted cómprelo)

Cita:

12. Nuestra forma de hacer negocio.
13. Etc...

Sobre todo si tu forma de hacer negocio es siguiendo el punto 8.

Señores y sobre todo los recien llegados a esta jungla de los negocios: "NO SOMOS NI LOS UNICOS NI LOS MEJORES"...y con esta mentalidad hay que hablar con nuestros clientes y hacer las cosas. No perdamos tiempo con nimiedades de que "me lo van a piratear". Como si fuera tan difícil ver un sofware, usarlo, ver lo que hace y luego reproducirlo y mejorarlo, vaya en muchos casos ni los fuentes se necesitan. Lo que hay que hacer es respaldar el producto con otras cosas: soporte, documentación, asistencia en línea, etc. No caigamos en el error de pensar que somos los non plus ultra de Delphi y que nuestro código es oro. ¿A cuantos no les ha tocado ver código de su competencia o bien otra empresa y descubrir que no se le entiende por ningún lado? Igual puede pasarle al competidor con oportunidad de ver tu código...y el resultado siempre será casi lo mismo: "mejor volverlo a escribir desde cero".

Cita:

En fin... podría seguir. Esto no es una decisión que tomar en 2 minutos.

Saludos,

Y aún tomandose 5 años esto no garantiza que sea la mejor decisión, y si no pregúntenle a MS y su famoso UAC.